GRANDSTREAM GCC6000 seeria turvakaitse
Tehnilised andmed
- Toode: GCC6000 seeria turvakaitse juhend
- Tootja: Grandstream Networks, Inc.
- Omadused: DoS-kaitse, ARP-kaitse
Toote kasutusjuhised
DoS kaitse
DoS-kaitsefunktsioon aitab kaitsta võrku üleujutusrünnakute eest, blokeerides SYNC-päringud. DoS-i rünnakute vältimiseks järgige neid samme.
- Lubage üleujutusrünnakute kaitse võrguteenuse portides, nagu port443 ja port 80.
- Konfigureerige üleujutusrünnakute kaitse teiste protokollide jaoks, nagu UDP, ICMP või TCP kinnitused.
- Lubage pordi skaneerimise tuvastamine hoiatada, kui host proovib SYN-i üleujutusrünnakut.
ARP kaitse
ARP-kaitsefunktsioon aitab vältida ARP-i võltsimise rünnakuid. ARP-kaitse konfigureerimiseks toimige järgmiselt.
- Lubage tulemüürimooduli turvalisuse kaitse ARP-kaitse all.
- Määrake toiminguks Block, et vältida ARP-i võltsimise katseid.
- Lubage ARP-i võltsimise kaitse ja konfigureerige suvandid, et blokeerida vastuoluliste MAC-aadressidega ARP-vastused.
Staatiline ARP-loend
Staatilise ARP-loendi loomiseks lisakaitseks tehke järgmist.
- Veenduge, et tulemüüri mooduli turvalisuse kaitse ARP-kaitse all oleks võltsimiskaitse lubatud.
- Lisage uus vastendusreegel kohaliku IP-aadressi ja vastava MAC-aadressiga.
- Määrake liidese tüüp vastavalt oma seadistusstsenaariumile.
Korduma kippuvad küsimused (KKK)
K: Kuidas ma saan view turvalogid pärast turvakaitse konfigureerimist?
V: Saate view turvalogid, mis kuvavad teavet rünnakute ja tehtud toimingute kohta GCC seadme liidese jaotises Turvalogi.
K: Mida peaksin tegema, kui kahtlustan ARP-i võltsimise rünnakut?
V: Kui kahtlustate ARP võltsimise rünnakut, lubage võltsimiskaitse ja konfigureerige ARP võltsimise kaitse suvandid, et blokeerida vastuolulised ARP-vastused.
Sissejuhatus
Turvakaitse on GCC konvergentsiseadmesse rakendatud mehhanism, mis kaitseb võrku tavaliste küberrünnakute eest, nagu DoS rünnakud, Man-in-the-middle rünnak, ARP Spoofing…
Igal tööriistal on komplekt parameetreid ja konfiguratsioonielemente, et blokeerida, isoleerida või kustutada lähtepunkt, kust rünnak tuvastatakse.
Selles juhendis käsitleme mõningaid kaitsemeetodeid, mida GCC-seade kasutab võrgu kaitsmiseks võimalike seisakuaegade või turvaaukude eest.
Juhend hõlmab järgmisi konfiguratsioone:
- DoS kaitse
- ARP kaitse
DoS kaitse
Üleujutuse rünnaku kaitset, nagu nimigi viitab, kasutatakse ühendatud lõpp-punktide blokeerimiseks võrgu üleujutamisest SYNC-päringutega. See saavutatakse võrguteenuse portides (port 443, port 80…) kaitsega SYNC FLOOD ja kui see märkab kui sihitud seadmele saadetakse liiga palju päringuid, blokeerib see olenevalt konfiguratsioonist sünkroonimissõnumid või teavitab sellest võrguadministraatorit.
Mõned esialgsed rünnakunäidud on järgmised: pordi skaneerimine, kus GCC annab signaali skannimiskatsest kõigi sisemiste teenindusportide jaoks ja vaatab, kas praegu kasutatakse mõnda konkreetset porti, näiteks port 21 FTP jaoks, port 22 SSH juurdepääsu jaoks … teave võib põhjustada võrgu haavatavuse, kui selle on saanud vale inimene, ja võib aidata tal mõnel juhul võrku üle ujutada ja teenuse keelamise rünnaku käivitada. Riskide minimeerimiseks saame lubada pordi skannimise. tuvastusfunktsioon, mis annab meile teada, kui kasutaja proovib pordi skannida.
DoS rünnaku ärahoidmine
Üleujutusrünnaku vältimiseks saame GCC seadmes järgida järgmisi samme.
- Jaotises "Tulemüüri moodul → Turvakaitse → DoS-kaitse" lubage DoS-kaitse valik.
- Määrake toiminguks "Blokeeri", see teavitab kasutajat SYN FLOODi katsest ja samal ajal blokeerib kasutajal SYN FLOOD rünnakute saatmise, toimingu määramine "Monitor" teavitab kasutajat ainult rünnakust. proovinud, teave võib olla viewGCC seadme turvalogides.
- Määrake TCP SYN Flood Packet Threshold (paketid/s) väärtusele 2000 paketti sekundis, kui summa ületab seda, käsitleb süsteem seda SYN Floodina.
Samal viisil on teil võimalus lubada kaitse üleujutuse rünnakute eest ka teistele protokollidele, nagu UDP, ICMP või TCP-kinnitused. 
Lisaks lubame pordi skaneerimise tuvastamise valiku, GCC-seade teavitab meid, kui ühendatud host üritab käivitada SYN-i üleujutusrünnakut, mis võib aidata meil võtta ennetavaid meetmeid.- Määrake pordi skaneerimise pakettide lävi (paketid/s) 50 paketti sekundis. Kui pordipaketid jõuavad läveni, algab pordi skaneerimise tuvastamine kohe.
Pärast ülaltoodud konfiguratsiooni rakendamist blokeeritakse see pärast seda, kui kasutaja üritab võrku üle ujutada ja GCC-seadmel ei esine seisakuid.
Saab küll view turbelogid, mis kuvavad teavet rünnaku täpse aja ja toimingu tüübi kohta, ainult jälgitavad või blokeeritud
ARP kaitse
Spoofing Defense on turvamehhanism, mida kasutatakse ühendatud kasutajate takistamiseks, nende võrguteabe muutmiseks ja muutmiseks, meie puhul keskendume ennetavatele meetmetele MAC-i võltsimise rünnakute vastu.
MAC-i võltsimisrünnak hõlmab seadme võrguliidese MAC-aadressi muutmist, et esineda võrgus teise seadmena. Seda saab kasutada võrgu juurdepääsu juhtelementidest, näiteks 802.1X autentimisest, möödahiilimiseks, ründaja seadme varjamiseks või mõne muu seadme jaoks mõeldud võrguliikluse pealtkuulamiseks.
ARP võltsimise vältimine
GCC-seade võimaldab oma kasutajatel selliseid ARP-i võltsimise rünnakuid ära hoida, rakendades konkreetseid reegleid, mis blokeerivad seadme uuesti ühenduse loomise ja muudetud MAC-aadressi hankimise. Seda saab teha järgmiselt.
- Jaotises "Tulemüürimoodul → Turvakaitse → ARP-kaitse" lubage võltsimiskaitse valik.
- Määrake toiminguks "Blokeeri", see blokeerib seadmel ohvri seadme ja ruuteri vahelise liikluse nuusutamise, samuti teavitab see kasutajat ARP-i võltsimise katsest. viewed turvalogis.
- Lubage ARP-i võltsimise kaitse, lubades järgmised valikud: „ARP-vastuste blokeerimine ebajärjekindlate allika MAC-aadressidega” ja „ARP-vastuste blokeerimine ebajärjekindlate sihtkoha MAC-aadressidega”.
- Lisaks saate lubada käsu „Keeldu VRRP MAC-ist ARP-tabelisse”, et keelduda mis tahes loodud virtuaalse MAC-aadressi lisamisest ARP-tabelisse.
Blokeeri ARP-vastused ebajärjekindlate allika MAC-aadressidega: GCC-seade kontrollib konkreetse paketi sihtkoha MAC-aadressi ja kui seade saab vastuse, kontrollib see lähte-MAC-aadressi ja veendub, et need ühtivad. Vastasel juhul ei saada GCC seade paketti edasi.
Blokeeri ARP-vastused ebajärjekindlate MAC-aadressidega: GCC601X(W) kontrollib vastuse saamisel allika MAC-aadressi. Seade kontrollib sihtkoha MAC-aadressi ja veendub, et need ühtivad. Vastasel juhul ei saada seade paketti edasi.
Keeldu VRRP MAC-ist ARP-tabelisse: Virtual Router Redundancy Protocol (VRRP) võimaldab mitmel ruuteril hallata üht virtuaalset IP-aadressi kõrge kättesaadavuse tagamiseks. See kaitse tagab, et VRRP MAC-aadresse ei aktsepteerita ARP-tabelis, mis võib ära hoida teatud tüüpi rünnakuid, mis hõlmavad VRRP-d.
Staatiline ARP-loend
Lisaks ülalnimetatud tööriistadele ja kasutatud valikutele oleks veel üks kasulik lähenemine MAC-i vastendamine IP-aadressiks, selleks esitatakse GCC tulemüürile teie kohaliku võrgu IP-aadresside loend ja neile vastavad lubatud MAC-aadressid, see tähendab, et kui ründaja üritab teie LAN-is esineda ühe lisatud IP-aadressina, kuid teistsuguse MAC-aadressiga, tuvastatakse see võltsimiskatsena ja blokeeritakse. See saavutatakse funktsiooniga nimega Staatiline ARP-loend.
Võtame allpool oleva eksampparemaks mõistmiseks:
Ühendatud siseserveri puhul kohaliku staatilise IP-aadressiga 192.168.3.230 teeme järgmist.
- Avage Tulemüüri moodul → Turvakaitse → ARP kaitse → Staatiline ARP-loend, enne seda veenduge, et tulemüüri moodul → Turvakaitse → ARP kaitse → võltsimiskaitse on lubatud.
- Klõpsake
uue kaardistamisreegli lisamiseks. - Määrake lõpp-punkti kohalik IP-aadress, meie puhul on see "192.168.3.230".
- Seadme MAC-aadressi automaatseks toomiseks ühendatud seadmete loendist saate kas käsitsi sisestada ühendatud seadme MAC-aadressi või klõpsata nupul „Automaatne hankimine”. see seostab MAC-aadressi kohaliku IP-aadressiga
- Liidese tüübi määramine sõltub teie seadistatud stsenaariumist, meie puhul valime LAN:
- LAN: LAN-liidese valimist kasutatakse siis, kui soovite kaitsta oma sisemisi seadmeid sisemiste võltsimiskatsete eest, kaardistades iga LAN-i seadme vastavale IP-aadressile, on oluline meeles pidada, et IP-aadress tuleb määrata staatiliselt, et vältida et värskendada vastendusreeglit iga kord uue IP-aadressiga.
- WAN: WAN-liides valitakse siis, kui soovime kaitsta oma sisevõrku, määrates tulemüürile pakutava ISP lüüsi avaliku IP-aadressi ja sellele vastava MAC-aadressi, mis on kasutatava lüüsiseadme MAC-aadress. kasulik, kui teie võrgus on server, mis on avatud Internetile, ja soovite tagada, et sellega saaks suhelda ainult lüüsist tulev liiklus.
- Määrake seadmele sobiv kirjeldus.
Tulemused
Kui rakendatakse ARP-i võltsimise kaitsemehhanismi, saab GCC-seade aidata teil ära hoida paljusid turvaohte, nagu näiteks Man-in-in the Middle -rünnak ja MAC-aadressi muutmine, et NAC-i autentimisest mööda minna.
Turvalogides kuvatakse teave blokeeritud ARP-i võltsimise katse kohta, veenduge, et määrake rünnaku tüübiks DoS & Spoofing view logid, nagu allpool näidatud:
Toetatud seadmed
| Seadme mudel | Nõutav püsivara |
| GCC6010W | 1.0.1.7+ |
| GCC6010 | 1.0.1.7+ |
| GCC6011 | 1.0.1.7+ |
Kas vajate tuge?
Kas te ei leia otsitavat vastust? Ärge muretsege, me oleme siin, et aidata!
Dokumendid / Ressursid
 |
GRANDSTREAM GCC6000 seeria turvakaitse juhend [pdfKasutusjuhend GCC6000, GCC6000 seeria turvakaitse juhend, GCC6000 seeria, turvakaitse juhend, kaitsejuhend, juhend |